全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
查看: 7330|回复: 37

[Windows VPS] Cloudflare 开始部署 ECH 技术(加密 SNI)搭配加密 DNS 等于无蔷?

[复制链接]
发表于 2021-10-14 19:38:51 | 显示全部楼层 |阅读模式
本帖最后由 G.K.D 于 2021-10-14 20:49 编辑

突然发现 Cloudflare 前两天发了个文章,给出了 ECH 的最新进度,表示要开始逐步部署 ECH 技术。

ECH 可以简单的理解为加密 SNI
为什么要加密 SNI?在访问网站时,浏览器会向服务器发送明文的 SNI 信息,而 SNI 包含域名,因此才有了 SNI 阻断技术(即你指向正确的 IP 也无法访问被蔷的网站,当然前提是该域名被加入了 SNI 阻 断列表)。
毕竟现在蔷网站一般都是 DNS 污 染 + SNI 阻 断套餐,因此理论上加密 SNI + 加密 DNS = 无蔷?

曾经 Cloudflare 和 Firefox 合作在 18 年推出了 ESNI,但是因为设计缺陷,导致 2 年后(去年底)被蔷精准解决宣布 GG 了。后来吸取教训改去研究、优化下一代加密 SNI 方案(即 ECH),不过我对这些不熟,不清楚是否容易被针对,有兴趣的可以去看一看 Cloudflare 官方博客说明:
https://blog.cloudflare.com/hand ... game-an-ech-update/

Chrome/Chromium 的支持状态:
https://bugs.chromium.org/p/chromium/issues/detail?id=1091403



「自选 IP/优选 IP」测试 Cloudflare 延迟和速度,获取最快 IPv4/IPv6~
https://github.com/XIU2/CloudflareSpeedTest(⭐2.4k
发表于 2021-10-14 19:42:12 | 显示全部楼层
然后就是cf的ip全部阻断
game over

点评

是阿,难得中国刚有和美国谈判的一点点资本  发表于 2021-10-14 20:49
发表于 2021-10-14 20:31:41 | 显示全部楼层
这项技术是给国外用户设计的,对国外用户有用。对国内用户不但没用也没任何意义,跟翻墙也扯不上关系
 楼主| 发表于 2021-10-14 21:07:51 | 显示全部楼层
xinxin8816 发表于 2021-10-14 20:53
简单看了下ECH的底层设计。我认为蔷只需要从握手层面阻断就可以了,毕竟ECH的整个Client Hello包都是加密了 ...

没毛病,不过我觉得还是要取决于 ECH 是否会成为下一个 HTTPS?(推广力度、普及程度)
HTTPS 也是加密了,特征也很明显,只要握手期间阻断就可以了(已重置链接),但是这是重要技术的进步车轮,在当时的环境下不可阻挡(而且那时候蔷才刚刷了没几年存在感)。
当然,ECH 重要程度比不上 HTTPS,所以还是挺悬的。 。。

HTTPS 的出现导致 关键词阻 断 技术被淘汰,那段时间只能依靠 DNS 污 染 + 封 IP 来蔷网站。
但是只要 Hosts 指向正确可用的 IP 就能绕过去(封 IP 只能定期扫描,总会有遗漏/不及时)
直到后来搞出了 SNI 阻 断技术才弥补了这个技术漏洞。

悲观的讲,哪怕 ECH 像 HTTPS 一样普及开了,蔷也总会找到方法去解决的,只是时间问题。
发表于 2021-10-14 20:41:00 | 显示全部楼层
本帖最后由 滴滴单车 于 2021-10-14 20:44 编辑
G.K.D 发表于 2021-10-14 20:36
emmm
Cloudflare 和 Firefox 18 年就推出了 ESNI(ECH 是 ESNI 改进版),蔷直到 20 年才找到方法精准解 ...


怎么都想着Cloudflare就一定跟蔷死磕到底 其实最简单的解决方案就是Cloudflare对国内IP访问需要检查国内审批过的白名单 (或者简单点有国内北岸的) 其他的域名国内IP一发起TLS握手就拒绝 安全合法 和平共存 这样也好促销付费的国内优化服务

点评

或是退回tls 1.2使用SNI也可以,備案過才能用ECH  发表于 2021-10-14 22:53
发表于 2021-10-14 20:19:52 | 显示全部楼层
G.K.D 发表于 2021-10-14 20:15
你这段话我没理解。。。

Github 难道不是最大的代里软件交流、下载网站么?

能到gayhub是去找那些的人,对他们来说,爬墙也是没难度的。
正常情况下,人们还是更看重的首页以及首页的直链。比如 www.不合法的东西.com,而不是gayhub那么长串的内页地址,难于记忆难于宣传。
然而,如果cf破墙了,以后大家就是直接www.不合法的东西.com,这个影响面就太大了。
 楼主| 发表于 2021-10-14 19:47:23 | 显示全部楼层
sdqu 发表于 2021-10-14 19:42
然后就是cf的ip全部阻断
game over

一般不到最后不会这么干的,因为使用 Cloudflare CDN 的网站太多了,影响太大。
蔷喜欢温水煮青蛙,很少会搞这种容易激起反弹的大动作。

就连 Github 也是慢慢去蔷,各种模拟丢包、干扰,而不是直接封了。
这也是因为几年前 Github 曾经被封过,当时国内闹得动静很大,迫使其解封了~
发表于 2021-10-14 19:49:56 | 显示全部楼层
好帖  帮我的好友顶一下
发表于 2021-10-14 19:51:02 | 显示全部楼层
optimism 发表于 2021-10-14 19:49
好帖  帮我的好友顶一下

这都能水
发表于 2021-10-14 19:58:08 | 显示全部楼层
optimism 发表于 2021-10-14 19:49
好帖  帮我的好友顶一下

每个帖子下面都有你
发表于 2021-10-14 20:01:01 | 显示全部楼层
G.K.D 发表于 2021-10-14 19:47
一般不到最后不会这么干的,因为使用 Cloudflare CDN 的网站太多了,影响太大。
蔷喜欢温水煮青蛙,很少 ...

cf和github还是不太一样。
github是主要还是技术的东西,其它的东西有,但少数。
然而,只要cf能过墙,基本上,所有的东西都进来了,墙等于被推了,这个是他们绝对无法接受的。
发表于 2021-10-14 20:15:17 | 显示全部楼层
esni去年抓到关键流量特征直接精准干掉,ech应该也差不多。
 楼主| 发表于 2021-10-14 20:15:22 | 显示全部楼层
sdqu 发表于 2021-10-14 20:01
cf和github还是不太一样。
github是主要还是技术的东西,其它的东西有,但少数。
然而,只要cf能过墙,基 ...

你这段话我没理解。。。

Github 难道不是最大的代里软件交流、下载网站么?
再加上越来越多的那啥组织像发现新大陆一样在 Github 上面搞宣传
这些才是导致 Github 被蔷的主要原因。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-3-29 22:20 , Processed in 0.084424 second(s), 8 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表